Ransomware
Introdução
Apenas uma semana após o surto WannaCry ransomware, os pesquisadores descobriram outro Ransomware chamado XData, que está infectando centenas de PCs na Ucrânia. Dentro de menos de 24 horas, a XData conseguiu um forte posicionamento nessas máquinas.
Embora esse fato seja notável em si mesmo, há um nível adicional de intriga em torno desse malware que atrai igualmente os entusiastas do crime e o teórico da conspiração. Acontece que o XData é realmente derivado de um ransomware antigo chamado AES-NI.
Desde o início, o suposto desenvolvedor da AES-NI contatou vários pesquisadores e jornalistas para desautorizar qualquer conexão com o XData. Independentemente dos motivos por trás do XData, o malware parece estar se espalhando para fora da Ucrânia, então estamos aqui para derrubá-lo e aumentar a conscientização sobre esta variante de ransomware virulenta e destrutiva, em um esforço para mostrar outras equipes de segurança como bloqueá-lo de infectar Seus sistemas.
Primeiro, o drama
O Ransomware AES-NI surgiu em torno de dezembro de 2016, depois que usuários infectados publicaram a nota de resgate e a extensão de arquivos em fóruns de ajuda. Algumas das primeiras extensões de arquivos anexadas aos arquivos criptografados incluem .lock, .pre_alpha, .aes e .aes_ni. Como é frequentemente o caso, o nome veio de cordas únicas na nota de resgate.
Em 18 de maio de 2017, a versão XData surgiu. Seu código é baseado na versão AES-Ni original, mas existem algumas diferenças notáveis, como XData não está usando TOR para seu servidor de Comando e Controle (C & C) e uso de técnicas de injeção de processo. A diferença mais óbvia é a extensão de arquivo para arquivos criptografados, que é ". ~ Xdata ~".
De acordo com o desenvolvedor da AES-NI, que atuou no Twitter e chegou a alguns pesquisadores de segurança e a BleepingComputer, ele acha que seu código fonte para AES-NI foi roubado e usado para criar XData. Como XData pode ter usuários propositalmente infectados na Ucrânia e outros países perto da Rússia, o que é incomum para a maioria dos sistemas de armazenamento desenvolvido na Rússia, o desenvolvedor da AES-NI pensa que está sendo enquadrado para isso.
Presumivelmente devido ao medo de entrar em problemas com a aplicação da lei russa, o desenvolvedor decidiu liberar a chave de descodificação de algumas das variantes AES-NI. Após o lançamento das chaves de descriptografia para o público, existem agora algumas ferramentas de descriptografia gratuitas disponíveis para ajudar as vítimas a recuperar seus arquivos.
Notavelmente, as versões mais recentes do AES-NI agora estão fazendo suas rodadas usando extensões ".aes_ni_0day" e ".pr0tect" e se celebram como uma "edição de exploração de NSA" especial.
Figura 1: Notas de resgate de amostra de AES-NI e XData
Nossa Análise
Usamos uma das variantes mais recentes para nossa análise. O arquivo binário principal é altamente criptografado e, uma vez que ele é executado, ele primeiro procura e executa o arquivo do sistema Windows "svchost.exe" no modo suspenso. O arquivo binário contém um arquivo DLL que é armazenado criptografado na seção de recursos. Ele extrai \ decrypts e carrega este arquivo DLL na memória.
Este arquivo DLL é o programa TOR que a AES-NI usa para se conectar diretamente e de forma segura aos sites que ele precisa acessar. Uma vez que o arquivo DLL é carregado na memória, ele é injetado no processo "svchost.exe" atualmente suspenso. E após a injeção, ele retoma o processo suspenso em que sua execução começa no módulo "solicitação" do arquivo DLL injetado.
Figura 2: Processo suspenso "svchost.exe" com o arquivo DLL injetado sendo retomado
Figura 3: a execução da DLL injetada começa no módulo "solicitação"
O programa TOR é executado para se conectar a servidores direcionados. Uma vez conectado, ele envia informações do sistema coletadas do PC infectado.
Figura 4: programa TOR conectado aos servidores direcionados
Enquanto o programa TOR está em execução, o binário principal também tenta se conectar aos seguintes URLs:
• "kzg2xa3nsydv [xxxx] .onion / gate.php" (servidor C & C)
• "ipinfo.io" - para verificar a conexão com a internet e informações de geolocalização
Conforme visto na imagem abaixo, a conexão com a internet e as informações de localização geográfica foram coletadas e serão enviadas ao servidor C & C juntamente com outros detalhes do sistema, como o "Nome do computador", "Nome do usuário", "Data de instalação da versão do SO", Etc.
Figura 5: detalhes de conexão de Internet e geolocalização obtidos da ipinfo.io
O binário principal então começa a procurar arquivos para criptografar. Ele primeiro enumera unidades locais e mapeadas e busca recursivamente arquivos para criptografar. Ele ignora a criptografia de arquivos com ". Sys "," .exe "," .msi "," .lnk "e" .dll " , bem como todos os arquivos dentro das pastas " Windows " e " Desktop " . Isso garante que o sistema ainda funciona corretamente após a criptografia. Ele também ignora o arquivo criptografado com menos de 16 bytes de tamanho.
Ele criptografa arquivos usando criptografia AES-256 e RSA-2048 e renomeia todos os arquivos criptografados anexando a string ".aes_ni_0day" em seus nomes de arquivos originais, conforme mostrado abaixo:
Figura 6: Arquivos criptografados agora com extensões ".aes_ni_0day"
Ele também cria a nota de resgate usando o nome do arquivo "!!! LEIA ESTE - IMPORTANTE !!!. Txt "em cada pasta. O conteúdo da nota de resgate é mostrado abaixo:
Figura 7: A nota de resgate e as instruções
De acordo com a nota de resgate, o malware é uma versão especial denominada "NSA EXPLOIT EDITION", provavelmente referente ao despejo ShadowBrokers do conjunto de ferramentas de exploração FuzzBunch, que foi supostamente roubado da NSA.
No entanto, nós não encontrou nenhuma evidência nesta versão de capacidades semelhantes a vermes semelhantes a WannaCry , agora conhecida famosa por ter usado uma combinação dos EternalBlue ferramentas e DoublePulsar com efeito devastador. A nota de resgate pode simplesmente se referir ao uso que os atacantes das façanhas no despejo para entregar o ransomware à máquina da vítima.
Esta variante também pode criptografar arquivos em toda a rede local usando compartilhamentos de rede abertos e autenticados. Ele verifica a rede usando endereços derivados do próprio endereço dos sistemas infectados, procurando compartilhamentos abertos e compartilhamentos de administrador (IPC $, C $). Uma vez que ele encontra um computador com um compartilhamento aberto, ele tenta negociar conexões. Uma vez que uma conexão foi feita, ela irá criptografar arquivos armazenados nessas pastas compartilhadas.
Figura 8: Varredura de rede para computadores com compartilhamento aberto
AES-NI ransomware gera uma chave pública localmente para criptografar arquivos. Juntamente com a chave privada, essa chave pública é necessária pelo atacante para que possa descriptografar os arquivos afetados. A chave pública é armazenada na pasta "C: \ ProgramData" e uma cópia também é enviada para o servidor C & C. Conforme instruído na nota de resgate, esta chave pública deve ser enviada ao atacante se a vítima decidir pagar o resgate.
Figura 9: Chave pública gerada
O AES-NI também tenta encerrar centenas de serviços em execução se instalado no computador da vítima, como:
ACRONIS StorageNode
Acronis VSS Provider
AcronisAgent
Altaro.SubAgent.exe
Altaro.UI.Service.exe
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopologia
MySQL
MySQL56
NAVSERVER
Esses serviços abrangem uma ampla gama de software e incluem software de backup e recuperação, software de banco de dados e outros. Muitas vezes, o ransomware almeja arquivos de banco de dados para criptografia, potencialmente aumentando as apostas para a vítima. No entanto, o software de banco de dados e outros softwares que trabalham com dados tipicamente bloqueiam seus arquivos de dados para evitar que outro software modifique o arquivo (e, claro, excluindo). Para obter a lista completa dos serviços, consulte o Apêndice A.
Usando a ferramenta wevtutil.exe, este ransomware exclui todos os registros de eventos do Windows como parte de sua técnica furtiva. Ele cria o arquivo de lote mostrado na imagem abaixo e imediatamente o exclui após a execução.
Figura 10: Excluir logs de eventos do Windows
Stealth Capabilities - File-less-ness
Uma característica muito interessante deste ransomware é o fato de que não deixa vestígios de seu mecanismo de infecção no sistema. O binário principal possui uma autodestruição que é comum à maioria dos malwares e o processo de injeção DLL não produziu nenhum arquivo físico porque tudo foi feito na memória.
Ele também exclui todos os arquivos não binários que ele cria e, juntamente com a exclusão dos logs de eventos do Windows, será difícil rastrear e analisar como os arquivos da vítima foram criptografados. Isso será efetivo para quaisquer novas versões que não tenham sido vistas e detectadas por assinaturas antivírus (AV), porque encontrar a amostra real do computador afetado será difícil.
Conclusão
O Ransomware AES-NI ainda é um dos ransomware mais eficazes lá fora. Tem sido visto em diferentes partes do mundo. Como é altamente eficaz e não obteve tanta atenção como, digamos, WannaCry, esperamos que mais versões sejam lançadas no futuro próximo, então continuaremos seguindo (e bloquearemos com CylancePROTECT®) este ransomware E seus "spinoffs". Esse Ransomware também pode acabar se tornando um que oferece o Ransomware-as-a-Service (RaaS).
A capacidade do Ransomware da AES-NI de ocultar seu rastreamento nos computadores da vítima pode ser muito desafiadora para análises e pesquisas forenses. Sem deixar nenhum traço de infecção, será difícil obter as amostras reais, especialmente para os fornecedores de segurança que precisam do arquivo real para criar assinaturas para.
Se você usa nosso produto de proteção de ponto de extremidade CylancePROTECT® , você já estava protegido contra este ataque. Se você não possui o CylancePROTECT, entre em contato conosco para saber como nossa solução orientada por AI pode prever e prevenir ameaças desconhecidas e emergentes.
Indicadores de Compromisso (IoCs)
SHA-256 Hashes:
157D7AD2664AA2B7F534A628D56026B0DF9F5FFCCE7CC1F1943A9F939B3F4CF0
19339A16D23C642118A1BA7E2B7CD20A92290A6E645491AF048654BC57B51FD6
4142FF4667F5B9986888BDCB2A727DB6A767F78FE1D5D4AE3346365A1D70EB76
9D37D25052949E11DA33DFC5098E589EFD33703BFA623473F5BCD02959EE159F
A9E2D14DC0F3CF022D52C671675961489592D5F90F97791FBD99007A4F494BD3
CDEF49474F70CE08E0925427D6482DC1317466AEB3F0A5A3EE86F7B8AB09202A
F8C12248B4336F6AB998B0B055B68608EBBE9031E5AE962FCD5D6069D1504334
Referências:
Http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev- Libera-decodificação-chaves-em meio-medos de ser-enquadrado-para-xdata-outbreak /
http://www.2-spyware.com/the-end-of-aes_ni-ransomware-the-hacker-publishes- Chaves de descriptografia
https://blog.avast.com/avast-releases-decryptor-tool-for-aes_ni-ransomware
Apêndice A - Lista de Serviços
Sobre a Equipe de Orientação de Ameaças de Cylance
A equipe de Orientação de ameaças da Cylance examina malware e suspeita de malware para identificar melhor suas habilidades, funções e vetores de ataque. Threat Guidance está na linha de frente da segurança da informação e muitas vezes examina profundamente o software mal-intencionado, o que os coloca em uma posição única para discutir ameaças nunca vistas antes.
https://www.cylance.com/en_us/blog/threat-spotlight-aes-ni-aka-sorebrect-ransomware.html
Apenas uma semana após o surto WannaCry ransomware, os pesquisadores descobriram outro Ransomware chamado XData, que está infectando centenas de PCs na Ucrânia. Dentro de menos de 24 horas, a XData conseguiu um forte posicionamento nessas máquinas.
Embora esse fato seja notável em si mesmo, há um nível adicional de intriga em torno desse malware que atrai igualmente os entusiastas do crime e o teórico da conspiração. Acontece que o XData é realmente derivado de um ransomware antigo chamado AES-NI.
Desde o início, o suposto desenvolvedor da AES-NI contatou vários pesquisadores e jornalistas para desautorizar qualquer conexão com o XData. Independentemente dos motivos por trás do XData, o malware parece estar se espalhando para fora da Ucrânia, então estamos aqui para derrubá-lo e aumentar a conscientização sobre esta variante de ransomware virulenta e destrutiva, em um esforço para mostrar outras equipes de segurança como bloqueá-lo de infectar Seus sistemas.
Primeiro, o drama
O Ransomware AES-NI surgiu em torno de dezembro de 2016, depois que usuários infectados publicaram a nota de resgate e a extensão de arquivos em fóruns de ajuda. Algumas das primeiras extensões de arquivos anexadas aos arquivos criptografados incluem .lock, .pre_alpha, .aes e .aes_ni. Como é frequentemente o caso, o nome veio de cordas únicas na nota de resgate.
Em 18 de maio de 2017, a versão XData surgiu. Seu código é baseado na versão AES-Ni original, mas existem algumas diferenças notáveis, como XData não está usando TOR para seu servidor de Comando e Controle (C & C) e uso de técnicas de injeção de processo. A diferença mais óbvia é a extensão de arquivo para arquivos criptografados, que é ". ~ Xdata ~".
De acordo com o desenvolvedor da AES-NI, que atuou no Twitter e chegou a alguns pesquisadores de segurança e a BleepingComputer, ele acha que seu código fonte para AES-NI foi roubado e usado para criar XData. Como XData pode ter usuários propositalmente infectados na Ucrânia e outros países perto da Rússia, o que é incomum para a maioria dos sistemas de armazenamento desenvolvido na Rússia, o desenvolvedor da AES-NI pensa que está sendo enquadrado para isso.
Presumivelmente devido ao medo de entrar em problemas com a aplicação da lei russa, o desenvolvedor decidiu liberar a chave de descodificação de algumas das variantes AES-NI. Após o lançamento das chaves de descriptografia para o público, existem agora algumas ferramentas de descriptografia gratuitas disponíveis para ajudar as vítimas a recuperar seus arquivos.
Notavelmente, as versões mais recentes do AES-NI agora estão fazendo suas rodadas usando extensões ".aes_ni_0day" e ".pr0tect" e se celebram como uma "edição de exploração de NSA" especial.
Figura 1: Notas de resgate de amostra de AES-NI e XData
Nossa Análise
Usamos uma das variantes mais recentes para nossa análise. O arquivo binário principal é altamente criptografado e, uma vez que ele é executado, ele primeiro procura e executa o arquivo do sistema Windows "svchost.exe" no modo suspenso. O arquivo binário contém um arquivo DLL que é armazenado criptografado na seção de recursos. Ele extrai \ decrypts e carrega este arquivo DLL na memória.
Este arquivo DLL é o programa TOR que a AES-NI usa para se conectar diretamente e de forma segura aos sites que ele precisa acessar. Uma vez que o arquivo DLL é carregado na memória, ele é injetado no processo "svchost.exe" atualmente suspenso. E após a injeção, ele retoma o processo suspenso em que sua execução começa no módulo "solicitação" do arquivo DLL injetado.
Figura 2: Processo suspenso "svchost.exe" com o arquivo DLL injetado sendo retomado
Figura 3: a execução da DLL injetada começa no módulo "solicitação"
O programa TOR é executado para se conectar a servidores direcionados. Uma vez conectado, ele envia informações do sistema coletadas do PC infectado.
Figura 4: programa TOR conectado aos servidores direcionados
Enquanto o programa TOR está em execução, o binário principal também tenta se conectar aos seguintes URLs:
• "kzg2xa3nsydv [xxxx] .onion / gate.php" (servidor C & C)
• "ipinfo.io" - para verificar a conexão com a internet e informações de geolocalização
Conforme visto na imagem abaixo, a conexão com a internet e as informações de localização geográfica foram coletadas e serão enviadas ao servidor C & C juntamente com outros detalhes do sistema, como o "Nome do computador", "Nome do usuário", "Data de instalação da versão do SO", Etc.
Figura 5: detalhes de conexão de Internet e geolocalização obtidos da ipinfo.io
O binário principal então começa a procurar arquivos para criptografar. Ele primeiro enumera unidades locais e mapeadas e busca recursivamente arquivos para criptografar. Ele ignora a criptografia de arquivos com ". Sys "," .exe "," .msi "," .lnk "e" .dll " , bem como todos os arquivos dentro das pastas " Windows " e " Desktop " . Isso garante que o sistema ainda funciona corretamente após a criptografia. Ele também ignora o arquivo criptografado com menos de 16 bytes de tamanho.
Ele criptografa arquivos usando criptografia AES-256 e RSA-2048 e renomeia todos os arquivos criptografados anexando a string ".aes_ni_0day" em seus nomes de arquivos originais, conforme mostrado abaixo:
Figura 6: Arquivos criptografados agora com extensões ".aes_ni_0day"
Ele também cria a nota de resgate usando o nome do arquivo "!!! LEIA ESTE - IMPORTANTE !!!. Txt "em cada pasta. O conteúdo da nota de resgate é mostrado abaixo:
Figura 7: A nota de resgate e as instruções
De acordo com a nota de resgate, o malware é uma versão especial denominada "NSA EXPLOIT EDITION", provavelmente referente ao despejo ShadowBrokers do conjunto de ferramentas de exploração FuzzBunch, que foi supostamente roubado da NSA.
No entanto, nós não encontrou nenhuma evidência nesta versão de capacidades semelhantes a vermes semelhantes a WannaCry , agora conhecida famosa por ter usado uma combinação dos EternalBlue ferramentas e DoublePulsar com efeito devastador. A nota de resgate pode simplesmente se referir ao uso que os atacantes das façanhas no despejo para entregar o ransomware à máquina da vítima.
Esta variante também pode criptografar arquivos em toda a rede local usando compartilhamentos de rede abertos e autenticados. Ele verifica a rede usando endereços derivados do próprio endereço dos sistemas infectados, procurando compartilhamentos abertos e compartilhamentos de administrador (IPC $, C $). Uma vez que ele encontra um computador com um compartilhamento aberto, ele tenta negociar conexões. Uma vez que uma conexão foi feita, ela irá criptografar arquivos armazenados nessas pastas compartilhadas.
Figura 8: Varredura de rede para computadores com compartilhamento aberto
AES-NI ransomware gera uma chave pública localmente para criptografar arquivos. Juntamente com a chave privada, essa chave pública é necessária pelo atacante para que possa descriptografar os arquivos afetados. A chave pública é armazenada na pasta "C: \ ProgramData" e uma cópia também é enviada para o servidor C & C. Conforme instruído na nota de resgate, esta chave pública deve ser enviada ao atacante se a vítima decidir pagar o resgate.
Figura 9: Chave pública gerada
O AES-NI também tenta encerrar centenas de serviços em execução se instalado no computador da vítima, como:
ACRONIS StorageNode
Acronis VSS Provider
AcronisAgent
Altaro.SubAgent.exe
Altaro.UI.Service.exe
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopologia
MySQL
MySQL56
NAVSERVER
Esses serviços abrangem uma ampla gama de software e incluem software de backup e recuperação, software de banco de dados e outros. Muitas vezes, o ransomware almeja arquivos de banco de dados para criptografia, potencialmente aumentando as apostas para a vítima. No entanto, o software de banco de dados e outros softwares que trabalham com dados tipicamente bloqueiam seus arquivos de dados para evitar que outro software modifique o arquivo (e, claro, excluindo). Para obter a lista completa dos serviços, consulte o Apêndice A.
Usando a ferramenta wevtutil.exe, este ransomware exclui todos os registros de eventos do Windows como parte de sua técnica furtiva. Ele cria o arquivo de lote mostrado na imagem abaixo e imediatamente o exclui após a execução.
Figura 10: Excluir logs de eventos do Windows
Stealth Capabilities - File-less-ness
Uma característica muito interessante deste ransomware é o fato de que não deixa vestígios de seu mecanismo de infecção no sistema. O binário principal possui uma autodestruição que é comum à maioria dos malwares e o processo de injeção DLL não produziu nenhum arquivo físico porque tudo foi feito na memória.
Ele também exclui todos os arquivos não binários que ele cria e, juntamente com a exclusão dos logs de eventos do Windows, será difícil rastrear e analisar como os arquivos da vítima foram criptografados. Isso será efetivo para quaisquer novas versões que não tenham sido vistas e detectadas por assinaturas antivírus (AV), porque encontrar a amostra real do computador afetado será difícil.
Conclusão
O Ransomware AES-NI ainda é um dos ransomware mais eficazes lá fora. Tem sido visto em diferentes partes do mundo. Como é altamente eficaz e não obteve tanta atenção como, digamos, WannaCry, esperamos que mais versões sejam lançadas no futuro próximo, então continuaremos seguindo (e bloquearemos com CylancePROTECT®) este ransomware E seus "spinoffs". Esse Ransomware também pode acabar se tornando um que oferece o Ransomware-as-a-Service (RaaS).
A capacidade do Ransomware da AES-NI de ocultar seu rastreamento nos computadores da vítima pode ser muito desafiadora para análises e pesquisas forenses. Sem deixar nenhum traço de infecção, será difícil obter as amostras reais, especialmente para os fornecedores de segurança que precisam do arquivo real para criar assinaturas para.
Se você usa nosso produto de proteção de ponto de extremidade CylancePROTECT® , você já estava protegido contra este ataque. Se você não possui o CylancePROTECT, entre em contato conosco para saber como nossa solução orientada por AI pode prever e prevenir ameaças desconhecidas e emergentes.
Indicadores de Compromisso (IoCs)
SHA-256 Hashes:
157D7AD2664AA2B7F534A628D56026B0DF9F5FFCCE7CC1F1943A9F939B3F4CF0
19339A16D23C642118A1BA7E2B7CD20A92290A6E645491AF048654BC57B51FD6
4142FF4667F5B9986888BDCB2A727DB6A767F78FE1D5D4AE3346365A1D70EB76
9D37D25052949E11DA33DFC5098E589EFD33703BFA623473F5BCD02959EE159F
A9E2D14DC0F3CF022D52C671675961489592D5F90F97791FBD99007A4F494BD3
CDEF49474F70CE08E0925427D6482DC1317466AEB3F0A5A3EE86F7B8AB09202A
F8C12248B4336F6AB998B0B055B68608EBBE9031E5AE962FCD5D6069D1504334
Referências:
Http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev- Libera-decodificação-chaves-em meio-medos de ser-enquadrado-para-xdata-outbreak /
http://www.2-spyware.com/the-end-of-aes_ni-ransomware-the-hacker-publishes- Chaves de descriptografia
https://blog.avast.com/avast-releases-decryptor-tool-for-aes_ni-ransomware
Apêndice A - Lista de Serviços
Sobre a Equipe de Orientação de Ameaças de Cylance
A equipe de Orientação de ameaças da Cylance examina malware e suspeita de malware para identificar melhor suas habilidades, funções e vetores de ataque. Threat Guidance está na linha de frente da segurança da informação e muitas vezes examina profundamente o software mal-intencionado, o que os coloca em uma posição única para discutir ameaças nunca vistas antes.
https://www.cylance.com/en_us/blog/threat-spotlight-aes-ni-aka-sorebrect-ransomware.html